TheProtector – script de monitoramento de segurança para Linux baseado em Bash

• Ferramenta de monitoramento de segurança baseado em host, exclusiva para Linux, criada por um desenvolvedor insatisfeito com o alto custo das ferramentas de segurança corporativas (na faixa de US$ 50.000 por ano) e com seu foco em Windows
• Monitora malware, rootkits e tentativas de ocultação em tempo real por meio de detecção em múltiplas camadas, abrangendo espaço do usuário e espaço do kernel
• Funciona como um único script Bash, com pouquíssimas dependências, o que simplifica a instalação e permite que a maioria dos administradores Linux leia e modifique o código diretamente
• Projetada para também ser usada em ambientes de baixo custo (o desenvolvedor a criou em um notebook de US$ 500)

Principais recursos

• Monitoramento em tempo real: vigilância de processos, rede e arquivos
  • Rastreamento de eventos do kernel com eBPF: acompanhamento em tempo real da execução de processos e análise de chamadas de sistema
  • Detecção de malware baseada em regras YARA (webshells, reverse shells e mineradores de criptomoeda)
• Resposta a ameaças
  • Detecção e bloqueio de comportamentos anômalos (bloqueio de IP, encerramento de processos, quarentena de arquivos)
  • Detecção de técnicas de ocultação de rootkits e ameaças avançadas
• Expansão de segurança
  • Detecção de ataques com honeypot de rede (escuta de portas para atrair invasores)
  • Atualização automática de inteligência de ameaças (incluindo consulta de reputação de IP)
  • Logs forenses e verificação de integridade
• Facilidade operacional
  • Baseado em um único script Bash (sem necessidade de instalação complexa)
  • Oferece dashboard Web e API REST
  • Otimizado para ambientes de contêiner, como Docker

Requisitos do sistema

• Linux Kernel 4.9+ (requer eBPF)
• Bash 4.0+